1、簡(jiǎn)介

  CSRF的全名為Cross-site request forgery,它的中文名為 跨站請(qǐng)求偽造(偽造跨站請(qǐng)求【這樣讀順口一點(diǎn)】)

  CSRF是一種夾持用戶在已經(jīng)登陸的web應(yīng)用程序上執(zhí)行非本意的操作的攻擊方式。相比于XSS,CSRF是利用了系統(tǒng)對(duì)頁(yè)面瀏覽器的信任,XSS則利用了系統(tǒng)對(duì)用戶的信任。

 

回到頂部

2、CSRF攻擊原理

下面為CSRF攻擊原理圖:

電腦培訓(xùn),計(jì)算機(jī)培訓(xùn),平面設(shè)計(jì)培訓(xùn),網(wǎng)頁(yè)設(shè)計(jì)培訓(xùn),美工培訓(xùn),Web培訓(xùn),Web前端開發(fā)培訓(xùn)

由上圖分析我們可以知道構(gòu)成CSRF攻擊是有條件的:

  1、客戶端必須一個(gè)網(wǎng)站并生成cookie憑證存儲(chǔ)在瀏覽器中

  2、該cookie沒有清除,客戶端又tab一個(gè)頁(yè)面進(jìn)行訪問別的網(wǎng)站

 

回到頂部

3、CSRF例子與分析

  我們就以游戲虛擬幣轉(zhuǎn)賬為例子進(jìn)行分析

回到頂部

  3.1、簡(jiǎn)單級(jí)別CSRF攻擊

  假設(shè)某游戲網(wǎng)站的虛擬幣轉(zhuǎn)賬是采用GET方式進(jìn)行操作的,樣式如:

1 http://www.game.com/Transfer.php?toUserId=11&vMoney=1000

延伸閱讀

學(xué)習(xí)是年輕人改變自己的最好方式-Java培訓(xùn),做最負(fù)責(zé)任的教育,學(xué)習(xí)改變命運(yùn),軟件學(xué)習(xí),再就業(yè),大學(xué)生如何就業(yè),幫大學(xué)生找到好工作,lphotoshop培訓(xùn),電腦培訓(xùn),電腦維修培訓(xùn),移動(dòng)軟件開發(fā)培訓(xùn),網(wǎng)站設(shè)計(jì)培訓(xùn),網(wǎng)站建設(shè)培訓(xùn)學(xué)習(xí)是年輕人改變自己的最好方式